asp.net登录 用Forms身份验证和基于角色的分目录访问

最新推荐文章于 2018-01-11 23:59:56 发布
最新推荐文章于 2018-01-11 23:59:56 发布
阅读量894 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: asp.net 文章标签: asp.net 登录验证 Forms身份验证 asp.net不同管理员登录验证 asp.net帐号分目录访问
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bianjing40/article/details/46288931
本文介绍如何使用ASP.NET的Forms身份验证实现基于角色的访问控制。通过具体实例,包括网站目录结构、web.config配置、登录逻辑及页面权限检查等步骤,确保只有经过身份验证的用户才能访问指定页面。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Forms身份验证用来判断是否合法用户,当用户合法后,再通过用户的角色决定能访问的页面。

主要思想:Forms身份验证用来判断是否合法用户,当用户合法后,再通过用户的角色决定能访问的页面。 

具体步骤:
1、创建一个网站,结构如下:
网站根目录
Admin目录 ----> 管理员目录
Manager.aspx ----> 管理员可以访问的页面

Users目录 ----> 注册用户目录
Welcome.aspx ----> 注册用户可以访问的页面

Error目录 ----> 错误提示目录
AccessError.htm ----> 访问错误的提示页面

default.aspx ----> 网站默认页面
login.aspx ----> 网站登录页面
web.config ----> 网站配置文件


2、配置web.config如下: 


<configuration>
    <system.web>
        <compilation debug="true" targetFramework="4.0" />
        <!--设置Forms身份验证-->
        <authentication mode="Forms">
          <forms loginUrl="Login.aspx" name=".APSXAUTH" path="/" protection="All" timeout="30"/>
        </authentication>
        <authorization>
          <allow users="*"/>
        </authorization>
    </system.web>


    <!--设置Admin目录的访问权限-->
    <location path="Admin">
      <system.web>
        <authorization>
          <allow roles="Admin"/>
          <deny users="?"/>
        </authorization>
      </system.web>
    </location>
    <!--设置Users目录的访问权限-->
    <location path="Users">
      <system.web>
        <authorization>
          <allow roles="User"/>
          <deny users="?"/>
        </authorization>
      </system.web>
    </location>


</configuration>


3、在login.aspx页面的登录部分代码如下: 



html代码
<body>
    <form id="form1" runat="server">
        帐号:<asp:TextBox 
            ID="txtName" runat="server"></asp:TextBox>
        &nbsp;密码: 
        <asp:TextBox ID="txtPassword" runat="server" TextMode="Password"></asp:TextBox>
        <asp:Button ID="Button1" runat="server" Text="登录" onclick="btnLogin_Click" />
        <br />
        <br />
        <br />
        <br />
        <a href="Admin/Manager.aspx">转到Admin</a>
        <br />
        <br />
        <a href="Users/Welcome.aspx">转到Users</a>
    </form>
</body>

cs代码
        protected void btnLogin_Click(object sender, EventArgs e)
        {
            string um = txtName.Text.Trim();


            string uesrname = null;  //用户名
            //string password = null;  //密码
            string Roles = null;     //角色字符串 
            if (um == "sa")
            {
                uesrname = "sa";
                //password = "sa";
                Roles = "Admin,User";
            }
            else if (um == "admin")
            {
                uesrname = "admin";
                //password = "admin";
                Roles = "Admin";
            }
            else 
            {
                uesrname = "user";
                //password = "user";
                Roles = "User";
            }


            //Forms身份验证初始化 
            FormsAuthentication.Initialize();
            //验证用户输入并得到登录用户,txtName是用户名称,txtPassword是登录密码 
            //UserModel um = ValidUser(uesrname, password);


            if (um != null)
            {
                //创建身份验证票据 
                FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1,
                                               uesrname,
                                               DateTime.Now,
                                               DateTime.Now.AddMinutes(30),
                                               false,
                                               Roles,//用户所属的角色字符串 
                                               FormsAuthentication.FormsCookiePath);
                //加密身份验证票据 
                string hash = FormsAuthentication.Encrypt(ticket);
                //创建要发送到客户端的cookie 
                HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, hash);
                //if (ticket.IsPersistent)
                //{
                //    cookie.Expires = ticket.Expiration;
                //}
                //把准备好的cookie加入到响应流中 
                Response.Cookies.Add(cookie);


                //转发到请求的页面
                if (um == "admin")
                {
                    Response.Redirect("/admin/Manager.aspx");// 定向到某一个页面
                }
                else if (um == "user")
                {
                    Response.Redirect("/Users/Welcome.aspx");// 定向到某一个页面
                }
            }
            else
            {
                ClientScriptManager csm = this.Page.ClientScript;
                csm.RegisterStartupScript(this.GetType(), "error_tip", "alert('用户名或密码错误!身份验证失败!');", true);
            }
        }









4、给网站添加处理程序Global.asax,其中通用身份验证代码如下:


using System.Security.Principal;

        //改造原来的User,给其添加一个用户所属的角色数据 
        protected void Application_AuthenticateRequest(object sender, EventArgs e)
        {
            if (HttpContext.Current.User != null)
            {
                if (HttpContext.Current.User.Identity.IsAuthenticated)
                {
                    if (HttpContext.Current.User.Identity is FormsIdentity)
                    {
                        FormsIdentity id = (FormsIdentity)HttpContext.Current.User.Identity;
                        FormsAuthenticationTicket ticket = id.Ticket;

                        string userData = ticket.UserData;
                        string[] roles = userData.Split(',');
                        //重建HttpContext.Current.User,加入用户拥有的角色数组 
                        HttpContext.Current.User = new GenericPrincipal(id, roles);
                    }
                }
            }
        } 






5、在Admin目录中Manager.aspx页面加载代码如下:




html代码


    <form id="form1" runat="server">
    <div>
    
        登录【Admin】成功。。。。<br />
        <br />
        <br />
        <asp:Button ID="Button1" runat="server" onclick="btnExit_Click" Text="退出" />
        <br />
        <br />
        <a href="../Users/Welcome.aspx">转到Users</a>

    </div>
    </form>


cs代码


using System.Web.Security;

        protected void Page_Load(object sender, EventArgs e)
        {
            //判断通过身份验证的用户是否有权限访问本页面 
            FormsIdentity id = (FormsIdentity)HttpContext.Current.User.Identity;
            //判断通过身份验证的用户是否是Admin角色 
            if (!id.Ticket.UserData.Contains("Admin"))
            {
                //跳转到访问权限不够的错误提示页面 
                Response.Redirect("~/Error/AccessError.htm", true);
            } 
        }

        //安全退出按钮的代码 
        protected void btnExit_Click(object sender, EventArgs e)
        {
            //注销票据 
            FormsAuthentication.SignOut();
            ClientScriptManager csm = this.Page.ClientScript;
            csm.RegisterStartupScript(this.GetType(), "exit_tip", "alert('您已经安全退出了!');", true);
        } 



6、在Users目录中Welcome.aspx页面加载代码如下: 







html代码


    <form id="form1" runat="server">
    <div>
        
        登录【Users】成功。。。。<br />
        <br />
        <br />
        <asp:Button ID="Button1" runat="server" onclick="btnExit_Click" Text="退出" />
        <br />
        <br />
        <a href="../Admin/Manager.aspx">转到Admin</a>
    
    </div>
    </form>


cs代码


using System.Web.Security;

        protected void Page_Load(object sender, EventArgs e)
        {
            //判断通过身份验证的用户是否有权限访问本页面 
            FormsIdentity id = (FormsIdentity)HttpContext.Current.User.Identity;
            //判断通过身份验证的用户是否是User角色 
            if (!id.Ticket.UserData.Contains("User"))
            {
                //跳转到访问权限不够的错误提示页面 
                Response.Redirect("~/Error/AccessError.htm", true);
            } 
        }


        //安全退出按钮的代码 
        protected void btnExit_Click(object sender, EventArgs e)
        {
            //注销票据 
            FormsAuthentication.SignOut();
            ClientScriptManager csm = this.Page.ClientScript;
            csm.RegisterStartupScript(this.GetType(), "exit_tip", "alert('您已经安全退出了!');", true);
        } 






7、在Error目录中AccessError.htm页面加载代码如下: 







<body>

    <p>拒绝访问.....返回登录<a href="../login.aspx">Login.aspx</a></p>

</body>






测试结果: 

数据: 

假设有3个用户,如下: 

------------------------------------------ 

用户名         密码             角色字符串 

------------------------------------------ 

sa               sa                  Admin,User 

admin        admin           Admin 

user           user              User 

------------------------------------------ 

测试: 

如果使用admin登录,只能访问Admin目录的Manager.aspx页面; 

如果使用user登录,只能访问Users目录的Welcome.aspx页面; 

使用sa登录,既能访问Admin目录的Manager.aspx页面,又能访问Users目录的Welcome.aspx页面。 

注意:测试时注意及时点击安全退出按钮,否则影响测试结果。 






                

        

    

    
  



    



                



	

		

			

				
					
[ASP.NET2.0]限制web用户对指定目录下的特定类型文件的访问

				
			

			

				

					Jresins的专栏
				

				

					07-31
					
					2409
					
				

			

		

		

			
				
默认配置下,通过配置web.config文件,比如下边的形式:xml version="1.0" encoding="utf-8"?>configuration xmlns="http://schemas.microsoft.com/.NetConfiguration/v2.0">    system.web>        authorization>            allow 

			
		

	



                

            
              



	

		

			

				
					
asp.net Forms 身份验证 html页面

				
			

			

				

					择飞
				

				

					11-19
					
					939
					
				

			

		

		

			
				
IIS 中默认是不支持静态页面进行Forms验证,在网上找个了好多答案,配置都太过繁琐

想让IIS的Forms验证 支持HTML静态页面其实只需要在web.config下进行简单的配置就可以了


1、在  system.web节点 配置  Forms验证    
    
      
    
    


2、在  configuration 节点下 增加 location

			
		

	



              


  
              

                


	

		

			

				
					
asp.netd登录角色赋权限(初学者必看)

				
			

			

				

					06-29
				

			

		

		

			
				
简单的登录实现,角色赋权限。初学者必看。

			
		

	





	

		

			

				
					
APS.NET身份验证概念

				
			

			

				

					人生长歌
				

				

					10-24
					
					2440
					
				

			

		

		

			
				
表单身份验证表单身份验证是指以下系统:将未经身份验证的请求重定向到一个超文本标记语言 (HTML) 表单,使用户能够在其中键入他们的凭据。在用户提供凭据并提交该表单后,应用程序对请求进行身份验证,然后系统以 Cookie 的形式发出身份验证票证。此 Cookie 包含凭据或用于重新获取标识的密钥。浏览器的后续请求自动包含此 Cookie。Windows 身份验证在 Windows 身份验证中,II

			
		

	



		

			
		



	

		

			

				
					
通过Forms身份验证设置不同页面的访问权限

				
			

			

				

					丰志强的专栏
				

				

					03-24
					
					1071
					
				

			

		

		

			
				
        使用Forms身份验证的时候,如果允许注册页面可以匿名用户访问,其他所有页面只允许注册用户访问,我们可以如下设置web.config文件来达到上述的效果:1.在“system.web”节点下,添加登录验证需要的一些条件,如下所示。          authentication mode="Forms">                 forms defaultU

			
		

	





	

		

			

				
					
ASP.NET 中实现不同角色的用户使用不同登录界面的方法 

				
			

			

				

					小叶知秋
				

				

					07-31
					
					1453
					
				

			

		

		

			
				
很多用户在开发 ASP.NET 
应用程序时都有这样的需求:管理员角色的账户使用管理员登录界面进行登录,普通用户角色的账户使用普通用户的登录界面进行登录。由于ASP.NET的
web.config里只能使用一个 authentication mode="Forms" 
节点,所以,要实现不同用户采用不同登录界面,一个办法就是创建一个管理员专用的虚拟目录,并设置为应用程序来实现。下面介绍另...

			
		

	





	

		

			

				
					
.net角色入门,最基本的角色登陆,源代码绝对正确

				
			

			

				

					11-23
				

			

		

		

			
				
.net角色入门,最基本的角色登陆,源代码绝对正确
查找role.net角色入门,最基本的角色登陆,源代码绝对正确
查找role
.net角色入门,最基本的角色登陆,源代码绝对正确

			
		

	





	

		

			

				
					
asp.net Forms身份验证基于角色的权限访问

				
			

			

				

					10-29
				

			

		

		

			
				
*** Forms身份验证.NET框架中的一种身份验证机制,用于在基于Web的应用程序中对用户进行身份验证。它通过在用户访问受保护的资源时,生成一个包含用户身份信息的Forms认证票据(Forms Authentication Ticket),...

			
		

	





	

		

			

				
					
ASP.NET Internet安全Forms身份验证方法

				
			

			

				

					01-01
				

			

		

		

			
				
本文别以ASP.NET1.1与ASP.NET2.0在Forms 身份验证上的实现方法,以及ASP.NET2.0较上一版本有哪些改进或...利用Forms身份验证是最好的方式. 身份验证 从实现机制来说ASP.NET1.1与ASP.NET2.0的安全模型是一致的.首先

			
		

	





	

		

			

				
					
asp.net mvc中Forms身份验证身份验证流程

				
			

			

				

					01-03
				

			

		

		

			
				
验证流程 一、用户登录  1、验证表单:ModelState.IsValid 2、验证用户名密码:通过查询数据库验证 3、如果用户名密码正确,则在客户端保存Cookie以保存用户登录状态:SetAuthCookie  1):从数据库中查出用户名...

			
		

	





	

		

			

				
					
asp.net中用户注册、角色配,以及已登录用户的退出

				
			

			

				

					wxl33的专栏
				

				

					09-03
					
					1179
					
				

			

		

		

			
				
<br />向各位请教:<br />在一个系统中,注册用户有几种类型。比如:书店网站中的用户角色有:客户、图书信息管理员等等。当这些用户登录到网站注册时,如何给他们不同角色?用什么方式实现?<br />另一个问题:当用户登录时可以通过MembershipUser查看到登录用户的信息。那么,如何判断用户是否已经退出呢?<br />我用的系统是vs2005 c#<br />谢谢各位朋友!<br /> 

			
		

	





	

		

			

				
					
asp.net中的窗体身份验证(完整篇之五:不同角色访问不同目录)》源代码

				
			

			

				

					01-06
				

			

		

		

			
				
博文《asp.net中的窗体身份验证(完整篇之五:不同角色访问不同目录》中的源代码

			
		

	





	

		

			

				
					
asp.net中的窗体身份验证不同角色访问不同目录

				
			

			

				

					没有标题,只有问题
				

				

					01-06
					
					7211
					
				

			

		

		

			
				
    在《asp.net中的窗体身份验证(最简单篇)》说明了如何让通过了身份验证的用户访问网站,但是该方法中有一个缺点,就是访问整个网站都需要用户身份验证。因此,在《asp.net中的窗体身份验证目录验证篇)》中介绍了如何让通过了身份验证的用户访问特定的目录,例如网站根目录中的网页是任何用户都能访问的,而admin目录则只能让通过身份验证的用户访问。这种方法可以解决大部网站的身份控制,但是

			
		

	





	

		

			

				
					
ASP.NET Forms验证详解

				
			

			

				

					moonpure的专栏
				

				

					04-25
					
					5660
					
				

			

		

		

			
				
创建网站中,常常会使用到身份验证asp.net中内置了几种身份验证的方式,如Windows、Froms、Passport等。这几种身份验证的方式各有不同。一般来说,网站的身份验证方式都会经过以下几个步骤:

    1、输入用户名密码,单击确定按钮。

    2、在后台判断用户名密码是否正确,如果错误返回提示;如果正确,进入可访问的页面。

 

    在ASP时代,通常

			
		

	





	

		

			

				
					
Asp.net web 根据不同的用户权限显示不同的菜单

				
			

			

				

					ShanHaiyang
				

				

					01-11
					
					7223
					
				

			

		

		

			
				
最近遇到要根据不同的用户权限显示不同的菜单,最后决定使用的方法如下:
 

第一,根据权限的不同,先创建单独的菜单文件,如下图所示。
 
注意:
菜单文件的代码,把自动造成的代码全删除,只保留你的菜单的代码就行(写在一个div里就行)
 
第二,创建一个主模板文件,如下图所示,后面创建新的webform都用这一个主模板。
 
在模板文件里,添加一个div,
代码如下





			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值